taz_akt_1160725177788

Lücke in Online-Infrastruktur: Giftangriff aufs Netz

Eine Lücke im Internet-Telefonbuch DNS zeigt, wie anfällig wichtige Teile der Internet-Infrastruktur sind. Beim Online-Banking könnten dadurch Kunden auf Seiten von Kriminellen landen - ohne etwas zu merken.

Also doch wieder zur Bank rennen? Bild: dpa

BERLIN taz Es klingt wie der Albtraum jedes modernen vernetzten Menschen: Man tippt eine Adresse in seinen Internet-Browser ein, um im Netz einzukaufen - und tut das, ohne es zu merken, auf der Seite von Ganoven. Die wiederum freuen sich über die freigebig preisgegebenen Zugangsdaten und Kreditkartennummern und räumen wenig später das Konto leer.

So oder ähnlich sehen Angriffsszenarien aus, die seit Kurzem wegen einer Lücke in einer wichtigen Internet-Infrastruktur möglich sind. Die Hintergründe sind schnell erklärt: Eigentlich bestehen alle Adressen im Netz, über die man einzelne Internet-Angebote erreichen kann, aus schlichten Zahlenkombinationen. Doch weil der Mensch sich sogenannte IP-Adressen wie "194.29.227.36" eher schlecht merken kann, haben schlaue Ingenieure einst das sogenannte Domain Name System (DNS) erfunden. Es sorgt dafür, dass man statt obiger Nummernreihe auch einfach www.taz.de eingeben kann, um in diesem Beispiel auf die Homepage der taz zu gelangen. DNS ist damit also das Telefonbuch des Internets - und nimmt damit eine enorm wichtige Rolle ein: Wer die entsprechenden Rechner dieses Systems, DNS-Server genannt, kontrolliert, kontrolliert auch, wohin sich die Menschen im Netz bewegen. Jeder Provider besitzt solche Rechner.

Dass man sich auf das DNS nicht immer verlassen kann, zeigt nun die massive Sicherheitslücke, die der amerikanische IT-Security-Experte Dan Kaminsky aufgedeckt hat. Unter Umständen ist es nämlich erstaunlich leicht möglich, das System zu manipulieren. Das liegt daran, dass die für DNS zuständigen Rechner bestimmte Technologien verwenden, um möglichst schnelle Antwortzeiten zu garantieren, schließlich will niemand beim Surfen warten. Dazu werden häufig abgerufene Adressen zwischengespeichert. Unter bestimmten Voraussetzungen lässt sich dieser sogenannte Cache "vergiften": Ein Angreifer schreibt seine eigenen Daten hinein, was dann beispielsweise bedeutet, dass man statt auf der Seite seiner Onlinebank auf der eines Kriminellen landet, der die Daten abgreifen möchte. Der Nutzer merkt nichts, denn der eigene Rechner folgt einfach den Anweisungen des Angreifers.

Das DNS-Problem lässt sich nur lösen, indem alle Internet-Provider, die angreifbare Rechner betreiben, diese aktualisieren. Das geschah bereits im Juli in einer groß angelegten Aktion - allerdings sollen laut einem Bericht des IT-Nachrichtendienstes "Heise Online" auch in Deutschland noch nicht alle Provider reagiert haben. Zudem ist dieser Software-"Flicken" recht löchrig: Das Grundproblem der Internet-Infrastruktur DNS, das durch die Lücke aufgezeigt wurde, wird damit noch nicht gelöst. Das ginge nur, wenn sich alle Netzbetreiber auf der ganzen Welt auf einen neuen Standard einigen würden. Dieser wird bereits seit Jahren diskutiert, aber nicht umgesetzt.

Es ist nicht das erste große Sicherheitsproblem in diesem Jahr, das einen Kernbereich in der Online-Infrastruktur trifft. Im Frühjahr wurde bekannt, dass die Verschlüsselungstechnik SSL, mit der unter anderem Bankgeschäfte sicher abgewickelt werden, unter bestimmten Umständen angreifbar ist. Auch hier musste fast das ganze Netz reagieren, damit die Lücke geschlossen werden konnte. Das Problem: Häufig sind Angreifer bereits schneller. BEN SCHWAN

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

So können Sie kommentieren:

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.

Den ersten Beitrag schreiben

Geben Sie Ihren Kommentar hier ein